„BitCoin“ kriptovaliuta. „Forbes“
2016 m. Kompiuterinėse sistemose buvo įvykdyta daugybė kenkėjiškų išpirkos atakų. „Jigsaw Ransomware“ pirmą kartą buvo rasta 11 d.tūkstbalandžio mėn., ir nustatyta, kad tai pirmiausia veikia „Windows“ sistemas. Išpirkos programa taip pat pasiūlė „onWebChat“ pokalbio kliento adresas, kad išpirkos programinės įrangos vartotojai galėtų padėti vartotojams mokėti bitkoinus. Kalbantis klientas buvo viešai prieinama paslauga, užšifruota SSL / TLS, todėl nustatyti žmones kitame pokalbio gale buvo sunku. Panašu, kad „Jigsaw Ransomware“ grįžo ir čia yra po tos pačios kainos, jūsų bitkoino, tačiau naudojant naują ir patobulintą taktiką.
„Ransomware“ programa „BitcoinBlackmailer“ buvo sukurta 2016 m. Ir pirmiausia išsiųsta el. Laiškais, užfiksuotais ant jų priedų, kad būtų pažeisti vartotojo duomenys. Atsisiuntus priedą, išpirkos programa perims pagrindinę sistemą ir užšifruos visus jos failus, taip pat visas pagrindines sistemos paleidimo ar atkūrimo parinktis. Netrukus po to, kai ši ataka bus baigta, iššokantis langas perims ekraną su Billy Puppet in the Saw from Jigsaw tema (taigi viruso pervadinimas į Jigsaw Ransomware), o ekrane bus rodomas atgalinis laikrodis su terminais ir užduotimis. vartotojams. Jei išpirkos nebūtų sumokėta per pirmą valandą, iš sistemos būtų sunaikinta viena byla; jei praeitų dar viena valanda, būtų sunaikinta didesnė suma. Šis modelis padidins kiekvienos valandos failų skaičių, kol visas kompiuteris bus ištrintas per 72 valandas. Be to, jei būtų bandoma paleisti ar atkurti kompiuterį, išpirkos programa ištrintų 1000 failų ir vis tiek grįžtų kaip aktyvi, teikdama valandines iniciatyvas likusiems. Papildoma patobulinta šios kenkėjiškos programos versija taip pat galėjo aptikti privačią informaciją, kurios vartotojas nenorėtų viešinti, ir grasino tai padaryti, jei nebus sumokėta už išpirką. Dėl nuogų ar netinkamų nuotraukų, privačių vaizdo įrašų ir daug daugiau kilo pavojus, nes auka rizikavo būti nuteista internete. Tik išpirkai pavyko užkirsti kelią šitam įvykti ir tik išpirkai pavyko iššifruoti ir grąžinti likusius sistemos failus.
„Jigsaw Ransomware Popup“ ekrano kopija. Pašalinkite kenkėjišką virusą
Pasak a saugumo ataskaita išleido „Norton Symantec“, buvo nustatyta, kad išpirkos programa sukuria aplanką „% AppData% System32Work dr“ ir tada sukuria failus „% AppData% Frfx firefox.exe“, „% AppData% Drpbx drpbx.exe“ , „% AppData% System32Work EncryptedFileList.txt“ ir „% AppData% System32Work Address.txt“. Siekiant užtikrinti, kad išpirkos programa būtų atnaujinta kiekvieną kartą paleidus kompiuterį, nebent protokolas būtų baigtas išpirkos programinės įrangos pabaigoje, buvo sukurtas šis registro įrašas: HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run firefox.exe '='% „AppData% Frfx firefox.exe“. Buvo nustatyta, kad išpirkos programa užšifravo 122 skirtingus failų plėtinius ir prie jų galų pridėjo „.fun“. Nebuvo jokios galimybės pašalinti šią pagarsėjusią išpirkos programą, o keli antivirusinių ir saugos kompanijų internete paskelbti mažinimo vadovai pasiūlė vartotojams patobulinti savo saugumo apibrėžimus ir praktiką gerokai prieš rizikuojant užsikrėsti.
Panaikinta „Jigsaw“ išpirkos programa yra daug mažiau aptinkama ir veikia užkulisiuose, kad nukreiptų vartotojų bitkoinų pervedimus į įsilaužėlių piniginės adresus, sukurdama panašias adresų knygas, kurios priverčia vartotoją manyti, kad jis perduoda bitkoiną sau numatytas vartotojas. Per šią išpirkos programą buvo pavogtas 8,4 bitkoinas, kuris prilygsta 61 000 USD „Fortinet“ ataskaitas, tačiau, nepaisant šios įsilaužėlių sėkmės, atrodo, kad šį kartą naudojamu kodu naudojamasi iš „openource“ duomenų bazių ir jis yra kur kas mažiau nugludintas nei originali išpirkos programa 2016 m. Tai verčia tyrėjus manyti, kad šios dvi atakos nėra susietas ir kad pastarasis yra nusikalstama veika, paremta tais pačiais pagrindiniais kriptovaliutos vagystės principais.
